Даже если вы отключили доступ по HTTP к своему порталу ArcGIS Enterprise, он потенциально уязвим для целого класса атак на безопасность, также известных как SSL stripping. Этот тип атак использует недостаток обмена данными между сайтом и веб-браузерами ваших пользователей, призывая их использовать только HTTPS запросы. Если атакующая сторона запускает ложную копию сайта вашего портала на порте 80 и перехватывает изначальный HTTP запрос от браузера пользователя, то потенциально эта сторона может получить секретную информацию, угрожающую безопасности пользователя.
Чтобы снизить эту уязвимость атакам SSL stripping, протокол HTTP Strict Transport Security (HSTS) настраивает ваш портал на предоставление этих данных обратно веб-браузерам пользователей. HSTS может быть активирован на портале ArcGIS Enterprise 10.6.1.
Активация HTTP Strict Transport Security на вашем портале
Начиная с версии 10.6.1, строка настроек безопасности в ArcGIS Portal Administrator Directory содержит булево свойство HSTSEnabled, установленное по умолчанию равным значению false. Когда это свойство обновляется значением true, веб-сайт портала сообщает веб-браузерам, что запросы необходимо отправлять только с помощью защищенного протокола HTTPS. Это выполняется с помощью заголовка, Strict-Transport-Security, направляющего браузер на жесткое использование только запросов HTTPS для последующего периода времени, определенного свойством max-age (которое задается в секундах). Эта продолжительность задана равной одному году: Strict-Transport-Security: max-age=31536000.
Внимание:
Если пользователи осуществляют доступ к вашему порталу с помощью ArcGIS Web Adaptor или обратного прокси-сервера, принудительное использование HSTS на вашем сайте может привести к неожиданным последствиям. В соответствии с заголовком, отправляемым протоколом HSTS, веб-браузеры пользователей будут отправлять на эти устройства только запросы HTTPS; если веб-браузер, на котором размещен ваш ArcGIS Web Adaptor или обратный прокси-сервер одновременно имеют другие размещенные приложения, которые не используют HTTPS, пользователи не смогут получить доступ к другим приложениям. Убедитесь в отсутствии подобных зависимостей перед активацией HSTS.
Для активации HSTS на веб-сайте вашего портала выполните следующие действия:
- Войдите в ArcGIS Portal Administrator Directory по адресу https://portal.domain.com:7443/arcgis/portaladmin.
- Перейдите к Безопасность > SSLCertificates > Обновить.
- На этой странице отметьте опцию HTTP Strict Transport Security (HSTS) включено, чтобы активировать HSTS, и подтвердите Обновить.
Примечание:
Если вы еще не настроили портал на затребование HTTPS для всех обменов данных, активация HSTS автоматически выполнит эту настройку.
- После перезапуска портала, он начнет возвращать заголовок Strict-Transport-Security для всех веб-браузеров, отправляющих запросы к сайту.
HTTP Strict Transport Security также можно активировать на сайте ArcGIS Server.